Signatur – Verschlüsselung - EGVP Anja Schipplick Herzlich willkommen – Danke - zahlreich erschienen Großes Interesse an den Themen dieser Informationsveranstaltung, die uns schon jetzt aber besonders auch zukünftig immer mehr beschäftigen werden. Das Basiswissen zu den Themen Signatur und Verschlüsselung vermitteln Aber auch – Struktur – Klarheit in das gesamte Thema bringen EGVP steht als Synonym für die vielen elektronischen Ein- und Ausgangsmöglichkeiten von Dokumenten die bereits möglich sind und auch zukünftig kommen werden. Dazu möchte ich den Unterschied zwischen dem Ihnen allen bekannten und genutzten E-Mail-Verkehr und EGVP darstellen aber auch De-Mail, den E-Postbrief und was das alles mit dem neuen Personalausweis zu tun hat vorstellen.

Themen Signatur Verschlüsselung Neuer Personalausweis PAUSE E-Post-Brief EGVP De-Mail Dazu möchte ich mit Ihnen einen Zeitsprung in die Jahre etwa 2800 bis 2700 vor Christus machen. Jetzt werden Sie sich fragen: Was hat das mit unserem Thema zu tun? Schon damals hat man sich in Asien Gedanken über die Echtheit und Unversehrtheit von Dokumenten und Unterlagen gemacht, denn aus dieser Zeit sind die frühesten Stempelsiegel belegt. Sie sehen das Thema und die damit zusammenhängen Probleme sind nicht wirklich neu. Und je nach Zeit hat man seine Methoden: Das Siegel, die Unterschrift und heute die elektronische Signatur

Signatur lat. Signatum „er hat es gezeichnet“ Handschriftliche Namensunterzeichnung Willenserklärung Identitätsnachweis Beglaubigung In der Papierwelt ist die eigenhändige Unterschrift und das sog. Dienstsiegel üblich. Grundsätzlich gilt die Formfreiheit bei Willenserklärungen aber durch das Gesetz ist die schriftliche Form vorgeschrieben, so muss die Urkunde / das Dokument eigenhändig unterzeichnet werden (§126 BGB (1)) Unterschrift von Benjamin Franklin

Die handschriftliche Unterschrift hat die Aufgabe die Identität des Ausstellers erkennbar zu machen die Echtheit des Dokuments zu gewährleisten (Integrität) dem Empfänger die Prüfung zu ermöglichen, wer die Erklärung abgegeben hat (Verifkation) Problem: Einfach zu fälschen Nachweis, ob die Daten vollständig und unversehrt vom angegebenen Absender beim Empfänger angekommen sind (Authentizität) Daher wird zusätzlich häufig noch ein Siegel verwendet. Dieses ist z.T. mit viel Aufwand gestaltet und entsprechend schwerer nachzumachen. Auch heute werden noch in vielen Bereichen Siegel verwendet: Zollsiegel an Waren – Plomben Versiegelung von Wohnungen (kennen wir alle aus dem Fernsehen vom Tatort) Siegel der techn. Überprüfung z.b. bei Geldspielautomaten oder auch das Standesamt hat bisher mit Dienst-Siegel beurkundet Authentizität, griechisch authentikos = echt, original Integrität, lateinisch integritas = unversehrt, unverändert, intakt, vollständig Verifikation = nachweisbar, bestätigte Überprüfung Alle diese Punkte muss auch eine elektronische Signatur erfüllten sie soll alle diese Fakten zu einem Dokument garantieren können. Heute haben wir viele Dokumente, die nicht mehr in Papierform sondern elektronisch erstellt, vorgehalten und versand werden sollen Und damit wird es schwierig eine herkömmlich Unterschrift und ein Siegel zu platzieren. Authentisierung = Nachweis der Identität (Personalausweis) Authentifizierung = Nachweis der Berechtigung (Passwort, Login)

Elektronische Signatur Einfache elektr. Signatur (§ 2 Nr. 1 SigG) Fortgeschrittene elektr. Signatur (§ 2 Nr. 2 SigG) Qualifizierte elektr. Signatur (§ 2 Nr. 3 SigG) Qualifizierte elektr. Signatur mit Anbieterakkreditierung (§ 2 Nr. 8 SigG) Man könnte natürlich beiden einscannen und z.B. als Bitmap unter sein Dokument platzieren Damit hätten wir dann eine einfache elektronische Unterschrift Diese hat aber nur einen sehr geringen rechtlichen Beweiswert Die elektronische Unterschrift ist ein rechtlicher Begriff Die digitale Unterschrift basiert auf einem kryptografischen/mathematischen Verfahren Die Fortgeschrittene Signatur muss Eine Manipulation der Daten erkennbar machen Sich eindeutig einer natürlichen Person oder Institution zuordnen lassen Die Identifizierung dieser Person oder Institution ermöglichen Und es erlauben, dass nur diese Person oder Institution die erforderlichen Mittel zur Signaturerzeugung unter ihrer alleinigen Kontrolle hat = Softwarezertifikat Die Qualifizierte Signatur muss zusätzlich Ihrem Urheber über ein qualifiziertes Zertifikat zugeordnet werden können Und von einem vertrauenswürden Zertifizierungsdiensteanbieter signiert sein = persönliche Signaturkarte = nur natürliche Personen Hinter der Qualifizierten elektronischen Signatur mit Anbieterakkreditierung verbirgt sich zusätzlich noch ein geprüftes Sicherheitskonzept des Zertifizierungsanbieters bei der Bundesnetzagentur. Dies bietet ein hohes Maß an Rechtssicherheit. Anbieter sind z.B. D-Trust, Telesec etc. (Nachprüfbarkeit der Zertifikate bei akkreditierten Anbieter muss 30 Jahre möglich sein, sonst nur 5 Jahre) Die Anforderungen an die verschiedenen Arten von Signaturen und an die Zertifizierungsdiensteanbieter sind im Signaturgesetz und in der Signaturverordnung geregelt. Jede Art der Signatur steht für eine bestimmte Qualitätsstufe. Je höherwertig die Signatur, desto mehr Bedeutung hat sie für den Rechtsverkehr und desto größer ist ihre Funktionalität.

Streitet der Karteninhaber die Erstellung einer fortgeschrittenen Signatur ab, liegt die Beweisführung bei der Gegenseite Eine Signatur ist sehr vielseitig, da mit Ihr alles signiert werden kann Bilder, Töne, Software, Dokumente aller Art Die Beweisführung bei qualifizierten Signaturen, dass der Karteninhaber NICHT signiert hat, obliegt dem Karteninhaber (ZPO §292a)

Rechtliche Grundlagen Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt (§ 126 (3) BGB) Eine durch Rechtsvorschrift angeordnete Schriftform kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist, durch die elektr. Form ersetzt werden, wenn das Dokument mit einer qualifizierten elektr. Signatur versehen ist. (§ 3a VerwVerfG) Bei Vorgängen, die zur Bearbeitung eine eigenhändige Unterschrift voraussetzen, bzw. die Rechtsfristen in Gang setzen, müssen die Mitteilungen und Anlagendokumente mit einer qualifizierten elektronischen Signatur gemäß § 2 Absatz 1 Nr. 2 Signaturgesetz (SigG) versehen sein. Vorgänge dieser Art können Sie mit Hilfe des Programms EGVP rechtsverbindlich, vertraulich und sicher elektronisch verschicken Die Übermittlung elektr. Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet hat

Wie funktioniert die digitale Signatur? Absender Hash-Wert Öffentl. Schlüssel Hash-Wert entschlüsseln Verifizieren Priv. Schlüssel Signiertes Dokument Der Absender wählt die Datei aus, die er signieren will Die Signatursoftware bildet über die Datendatei einen Hash-Wert (Prüfsumme) Die Signaturerstellungseinheit bildet aus dem Hash-Wert mit Hilfe eines geheimen privaten Signaturschlüssels die elektronische Signatur (verschlüsselter Hashwert) Die Datei wird mit der Signatur an den Empfänger verschickt (als getrennte Dateien, Containerdatei die bei Dateien enthält, oder Sign. In Datendatei enthalten) 5. Der Empfänger erhält die Datendatei und die Signaturdatei 6. Der Empfänger verifiziert mit einer Prüf-Software die Signatur mit Hilfe des öffentlichen Prüfschlüssels und der Nutzdatei (mit der Signatur meist mitgeliefert) 7. Ist die Prüfung erfolgreich wurde die Datei nicht verändert 8. Der Absender kann über ein im Internet verfügbares Zertifikatsverzeichnis identifiziert werden, sowie die Prüfung der Gültigkeit des Zertifikats zum Zeitpunkt der Signaturerstellung geprüft werden. Auch wenn ein Zertifikat bereits lange ungültig ist, sind Dokumente, die innerhalb des Gültigkeitszeitraums signiert wurden, nach wie vor gültig. Empfänger

Digitale Signatur Absender Empfänger Hash 1 Hashwert wird aus dem Dokument er-zeugt (z.B. SHA256). Hashwert wird mit dem privaten Schlüssel verschlüsselt (z.B. RSA). Hash 1 Klartext Hash 1 Verschlüsselter Hashwert wird dem Dokument Angehängt. Klartext Absender Empfänger Internet Klartext Hash 1 Hash 2 Zweiter Hashwert wird aus dem Dokument erzeugt . Klartext Hash 1 Status eines Zertifikats Gültig Abgelaufen Gesperrt Noch nicht freigeschaltet Nachricht ist unverfälscht, wenn beide Hashwerte gleich sind. Hash 1 Hashwert wird mit dem öffentlichen Schlüssel entschlüsselt.

Ein Dokument wird Sicher und Rechtsverbindlich durch die Signatur Verbindlichkeit = Nichtabstreitbarkeit

Verschlüsselung A B C D E F G H I J K L M 1 2 3 4 5 6 7 8 9 10 11 12 4,1,19 - 9,19,20 - 5,9,14 -22,5,18,19,3,8,12,21,5,19,19,5,12,20,5,18 - 20,5,24,20 Das ist ein verschlüsselter Text A B C D E F G H I J K L M 1 2 3 4 5 6 7 8 9 10 11 12 13 N O P Q R S T U V W X Y Z 14 15 16 17 18 19 20 21 22 23 24 25 26 Ein Klartext wird in einen Geheimtext übersetzt Empfänger muss ihn aber zum Decodieren kennen Symmetrisches Verfahren = Für Ver- und Entschlüsselung gleicher Schlüssel Asymmetrisches Verfahren = Unterschiedliche Schlüssel für Ver- und Entschlüsselung Hybrid Verfahren = die Vorteile beider Arten (Symmetrisch und Asymmetrisch) werden genutzt Dafür werden benötigt: Sitzungsschlüssel (beim Absender) Öffentlicher Schlüssel Empfänger (beim Absender) Privater Schlüssel Empfänger (beim Empfänger)

Verschlüsselung Internet 1 4 2 5 3 Empfänger (Bob) Absender Bob‘s privater Schlüssel Sitzungsschlüssel Bob‘s öffentlicher Schlüssel Empfänger (Bob) Absender 1 4 Klar-text 000102 03040a 0b0f09 Verschlüsselung erfolgt im Hybridverfahren wie folgt: 1. Erzeugung eines Sitzungsschlüssels 2. Verschlüsselung des Dokuments mit dem Sitzungsschlüssel 3. Verschlüsselung des Sitzungsschlüssel mit dem öffentlichen Schlüssel des Empfängers Versand 4. Verschlüsselter Sitzungsschlüssel wird mit dem privaten Schlüssel des Empfängers entschlüsselt 5. Entschlüsselung der des Dokuments mit den entschlüsselten Sitzungsschlüssel = Klartext 2 Internet 000102 03040a 0b0f09 Klar-text 5 3

Aufbau der Smartcard Chipkarten-Betriebssystem z.B. TCOS 3.0 Zugriff Signaturzertifikat Öffentlicher Schlüssel Zugriff per Lesegerät Zugangs-sicherung per PIN Signatur- Applikationen Privater Schlüssel Verschlüsselungs-zertifikat Fehl- bedienungs- zähler Hinweis auf neuen Personalausweis Öffentlicher Schlüssel Privater Schlüssel

Ein Dokument wird Sicher und Rechtsverbindlich durch die Signatur und Vertraulich und Verbindlich durch die Verschlüsselung Verbindlichkeit = Nichtabstreitbarkeit

Signatur – Verschlüsselung - EGVP Anja Schipplick P A U S E Herzlich willkommen Basiswissen – Struktur – Klarheit Dazu möchte ich mit Ihnen einen Zeitsprung in die Jahre etwa 2800 bis 2700 vor Christus machen. Jetzt werden Sie sich fragen: Was hat das mit unserem Thema zu tun? Schon damals hat man sich in Asien Gedanken über die Echtheit und Unversehrtheit von Dokumenten und Unterlagen gemacht, denn aus dieser Zeit sind die frühesten Stempelsiegel belegt. Sie sehen das Thema und die damit zusammenhängen Probleme sind nicht wirklich neu. Und je nach Zeit hat man seine Methoden: Das Siegel, die Unterschrift und heute die elektronische Signatur

Themen Signatur Verschlüsselung Neuer Personalausweis PAUSE E-Post-Brief EGVP De-Mail

EGVP Elektronischen Gerichts- und Verwaltungspostfach Elektronischer Rechtsverkehr mit dem Elektronischen Gerichts- und Verwaltungspostfach Ermöglicht die rechtsverbindliche Kommunikation über das Internet Sieht aus wie ein Email-Programm aber ist sicher durch OSCI und Governikus

Warum nicht E-Mail? E-Mail ist ein fester Bestandteil des heutigen Geschäftsalltags Schneller und unkomplizierter Austausch von Dokumenten Der freie Nachrichtenaustausch birgt jedoch Gefahren und darum rechtlich mit Fragezeichen behaftet

Ist die E-Mail angekommen? Hat die Mail wirklich den Empfänger erreicht? Kein Beleg über den Versand Eingangsbestätigung beim Empfänger (eingegangen) Nachweis über die Versendung (Laufzettel) ?

Ist der Absender authentisch? Empfänger kann über Sendern nicht sicher sein Absenderangaben frei wählbar Erstellung von Signaturen und Prüfung ist umständlich Absender ist eindeutig (Registrierungsserver) Absenderangaben können nicht frei gewählt werden Einfache Art der qualifizierten Signatur, automatische Prüfung ?

Wurde die Mail abgefangen? E-Mail kann im Web abgefangen und gelesen werden Absender und Empfänger merken nicht, dass E-Mail gelesen wurde Ist vom Sender bis zum Empfänger verschlüsselt und kann nicht gelesen werden Nur Empf. Kann Nachricht ent-schlüsseln und lesen ?

Wurde die E-Mail verändert? E-Mail kann im Web abgefangen und verändert werden; der Empfänger merkt nicht dass die E-Mail verändert wurde Durch die Veränderung wird die Signatur ungültig; Manipulation wird sofort erkannt ?

Die E-Mail ist offen - auch für Spionage und Betrug!

EGVP-Nachrichten sind einfach wie E-Mail, aber sicher - durch starke Verschlüsselung - durch elektronisch qualifizierte Signatur und damit rechtsverbindlich Vertraulich Sicher Rechtsverbindlich

OSCI-Laufzettel Protokollierung der Kommunikation Verschlüsselungsbefehle Erstellungszeitpunkt Weiterleitungszeitpunkt Zeitpunkt des Eingangs Gültigkeit der beteiligten Zertifikate Prüfergebnis der Zertifikate = Nachvollziehbarkeit der Transaktion = Anforderung des Signaturgesetzes Eingangsbestätigung auf dem Server ist für Fristen relevant

Rollenmodell Autor Sender Transporteur/Intermediär Ersteller des elektronischen Dokuments (Inhaltsdaten) Sender Elektr. Poststelle des Absenders Signieren und Verschlüsseln des Transportumschlags (Nutz-/Transportdaten) Transporteur/Intermediär Transport und Zustellung (Zugriff nur auf Nutz-/Transportdaten) Empfänger Elektr. Poststelle des Empfängers Entschlüsseln des Transportumschlags (Nutz-/Transportdaten) Leser Empfänger der Inhaltsdaten Inhalt Transport Inhalt Sender ist im Sinne des Rollenmodells die Einheit, die auf Transportebene signiert und verschlüsselt Intermediär = Zentraler Nachrichtenaustauschpunkt Überprüfung der syntaktischen Korrektheit Erstellung einer MessageID Zertifikatsüberprüfungen Nachrichtenbereitstellung Hat nur Einsicht in die Transport- (Nutz-) Daten Entschlüsselt den äußeren Umschlag mit seinem privaten Schlüssel Interpretiert die Nutzdaten und führt den mitgelieferten Auftrag aus Bei asynchroner Kommunikation werden die Inhaltsdaten in der Datenbank gespeichert Verschlüsselt und signiert bei Abholung der Nachricht

Rollenmodell nhalt Transport Inhalt Autor Sender Ersteller des elektronischen Dokuments (Inhaltsdaten) Signieren des Inhalts Verschlüsseln des Inhalts Sender Elektr. Poststelle des Absenders Signieren und Verschlüsseln des Transportumschlags (Nutz-/Transportdaten) Transporteur/Intermediär Transport und Zustellung (Zugriff nur auf Nutz-/Transportdaten) Empfänger Elektr. Poststelle des Empfängers Entschlüsseln des Transportumschlags (Nutz-/Transportdaten) Leser Empfänger der Inhaltsdaten Entschlüsseln der Inhaltsdaten nhalt Transport Inhalt

OSCI-Transport „Doppelter Umschlag“

Organisation innerhalb des Hauses OSCI-Post….(Z:) 01-02-OSCI 32-10-OSCI Ausgangspost Versendung nicht möglich …

EGVP-Nachricht

message.html = Nachricht

EGVP-Nachricht

businesscard.html = Visitenkarte

EGVP-Nachricht

Inspectionsheet.html =Prüfprotokoll

EGVP-Nachricht

Wer ist über EGVP erreichbar? Bundesweit alle Notare Viele Rechtsanwälte Amtsgerichte und Staatsanwaltschaften Alle niedersächsischen Ministerien und Kommunen Bundesweit div. Verwaltungsbehörden Abfallgesellschaften, Versicherungen, ADAC, Inkassogesellschaften, Agrarverbände, Banken und Sparkassen, Energieversorger, Industrie- und Handelskammern, Tierärztekammer, Wohnungsbaugenossenschaften,…. Üstra Zukünftig: Deutsche Rente

Signatur – Verschlüsselung - EGVP Herzlichen Dank für Ihre Aufmerksamkeit! Anja Schipplick Anja.Schipplick@hannit.de 0511/616-21430